IMON测试之二：天下无毒之病毒勿进！

mofunzone

原帖由 jpjpjp 于 2007-3-30 15:34 发表
如果下载的东西比较大，NOD能在不下载的情况下就报？不明白这个怎么做到的

那是不可能的
实际上这个所谓的高效能就是一个我看来的“噱头”
任何用浏览器的人都知道在你点击下载链接之后，会弹出一个选择打开，保存还是取消的选项框
但是就算这个时候你不做操作，浏览器依然会默认为你需要进行打开或者保存的操作，所以不管你有没有选择，文件都会被下载到本地硬盘，从你点击的时候开始
而对于其他的文件也是如此，就算是一个网络的jpg图片依然，只是你不用选择保存这些东西，浏览器默认是打开
而选择高效能之后nod开始对浏览器的流量进行监视，也就是说，nod不会管你是不是保存文件，只要是流量，nod都会扫描
这就是高效能和高兼容之间唯一的区别，nod不能，也没有软件能在下载完成之前报出病毒来
而迅雷的道理相同，迅雷是通过geturl的js代码来获得浏览器链接的，同理，如果你是直接右键使用迅雷下载，就算你的浏览器是高效能，nod不会在迅雷下载前报病毒，但是如果你是点击链接来弹出迅雷的，浏览器实际还在继续下载文件中，所以这个时候文件同样被缓存到硬盘了
点击=网页-链接-开始下载到硬盘并弹出选项-nod高效能在你选择前拦截到病毒
点击链接开启迅雷=网页-链接-开始下载并且被迅雷geturl拦截到url弹出迅雷下载窗口，同时浏览器下载-nod高兼容拦截
右键迅雷=网页-链接-geturl获得链接弹出下载窗口，浏览器不会下载-在点击确定下载前nod高兼容也不会有反应
高兼容=网页-链接-下载-硬盘-除非文件被执行，不然无反应
高效能=网页-链接-下载-流量监控到程序有文件下载，记住下载后保存路径-硬盘-主动扫描路径-发现-隔离
我不得不说，曲版对于nod能让病毒不下载到硬盘就报这个观点是完全错误的，文件是被100%缓存到浏览器的缓存文件的时候因为高效能的流量监控自动扫描而被隔离掉的，但是实际上，在被隔离之前已经被移动了，所以你看不见路径，但是如果你把nod的优先级调低，用其他软件监控，你可以发现其他软件会比nod先弹出警报，而且路径就是你的缓存文件
而使用高效能的后果就是对网速的牺牲，特别是对支持jpeg2000的浏览器来说，按照jpeg2000规格制作的图片可以自动刷新，也就是说不用下载到100%就可以看见图片的大概内容，而开启高效能之后，除非下载到100%，不然图片根本就看不见
所以我认为，完全没有必要开高效能，高兼容是说，不主动扫描，节省cpu，不会卡网速，而高效能是说，主动扫描，会卡cpu，还会卡网，但是结果是相同的，在病毒运行前或时被隔离，都不会遭到感染
所以这个主题最重要的一句话“在威胁程序到达用户硬盘之前对用户进行提示”是不可能做到的
p.s 有兴趣的人可以试试找一个很大的文件，10mb左右，而且去一个你下载速度很慢的网站，看看nod能不能在你下载到50%的时候告诉你这个文件有没有病毒吧

[ 本帖最后由 mofunzone 于 2007-3-30 17:23 编辑 ]

ouyangshu910

哦 本人菜鸟 还是 未能理解

alexliu

我想知道如果把客户端兼容性里的所有选项都改为高性能可以吧！！

曲中求

你所说的过程中是正确的，尽管附言是错误的，呵呵！NOD 32不是卡巴，就网络监控而言，有区别。

mofunzone

原帖由 曲中求 于 2007-3-30 17:58 发表
你所说的过程中是正确的，尽管附言是错误的，呵呵！NOD 32不是卡巴，就网络监控而言，有区别。

希望你抓图，我不相信nod可以在下载到50%的时候报出病毒，因为下载到50%的文件连pe文件都不是，nod的虚拟机根本就不可能识别，就像是不会报壳一样

binkko

In active (higher efficiency) mode, IMON first downloads and scans whole file and then passes it on to the target application. This procedure is safer because in the case of an infiltration the application does not receive any portion of the downloaded file. A disadvantage is that the application receives all data at once, therefore it cannot show the download status properly. Therefore, if the download lasts for more than 5 seconds, a small window showing the dowload progress pops up beneath the system tray. Active mode is not suitable for certain types of data which requires a continual data flow (e.g. multimedia, streaming video/audio).

高效能下，IMON先下载并扫描整个文件然后传递给应用程序，在病毒渗透过程中应用程序不会接收下载文件的任何部分

In passive (higher compatibility) mode, portions of a downloaded file are continuously passed on to the target application whilst IMON stores a temporary copy of each of the fragments. When the last fragment is detected, the whole file is scanned for viruses. If an infiltration is detected, a warning window appears and the connection with the particular server is terminated. A disadvantage of that is that the already downloaded portion of the file may already contain a fundamental portion of a malicious code. What's more, if the application repeatedly attempts to download infected file, it may use the already downloaded data and request only the rest of the file. In such case, IMON may not find nothing suspicious in the remaining portion.
高兼容度下下载的文件是分批传送到程序，同时拷贝到imon中扫描
所以即使imon侦测到时也可能已下载部分已包含病毒代码的主要部分
而且应用程序会使用已下载部分并请求继续下载剩余部分，imon也没办法了

不过这时还有amon

[ 本帖最后由 binkko 于 2007-3-31 10:42 编辑 ]

binkko

Active mode is not suitable for certain types of data which requires a continual data flow
(e.g. multimedia, streaming video/audio).
流媒体如网络电视、收音机的还是算了

wzm1234568

谢谢楼主分享的教程，学习了。

曲中求

呵呵，NOD 32的网络监控可以对各个连网程序分别定义，这个可是一大特色。：）

yzt1004

mofunzone老师说的还是很有道理的~~
有的地方可能还需要实验验证。